redis 只监听 127.0.0.1 应该就没必要设置密码了吧

2023-03-08 13:20:31 +08:00
 edis0n0
5510 次点击
所在节点    信息安全
37 条回复
tairan2006
2023-03-08 20:11:16 +08:00
你指的自己机器还是服务器?服务器的话建议别监听 127.0.0.1 ,后面别的服务要共享还要重启…自己电脑随意
kenvix
2023-03-08 20:18:55 +08:00
你最好确认其他系统没有什么漏洞先。。。
kdwnil
2023-03-08 20:34:04 +08:00
可能很多人都这么做,但大伙都不敢这样建议。。。
AS4694lAS4808
2023-03-08 20:52:02 +08:00
告诉我公网 IP[狗头]
yazinnnn
2023-03-08 21:14:54 +08:00
那如果换成监听 domain socket 会安全些吗
leaflxh
2023-03-08 21:22:20 +08:00
单独一台机器上部署并定期更换强密码,然后被系统漏洞攻下来(
Ericcccccccc
2023-03-08 21:52:52 +08:00
@i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人.
MossFox
2023-03-08 22:42:30 +08:00
类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用,是可以远程以本地网络身份去进行未授权访问的。
……不过我没什么具体经验,就稍微提一下。
Kumo31
2023-03-08 23:17:14 +08:00
不建议无条件信任内网或本地的访问,之前遇到过的例子是,很多在线简历网站都是基于 HTML 排版的,在下载 PDF 时会在服务器中开一个无头浏览器进行渲染,大部分都可以直接往简历里丢个 <iframe> ,等它渲染时就能以服务器身份访问,得到一些内网信息了,批量扫了一堆这种 SSRF 漏洞
dcsuibian
2023-03-08 23:21:42 +08:00
设个密码那么费劲儿么
我自己开发机也不设密码,但生产环境的话,肯定会弄啊
dnsaq
2023-03-09 07:32:05 +08:00
有个东西叫安全基线,设不设置都一样用。但这些看起来多余的操作实际抬高了安全基线,肯定是有好处的。某些 0day 利用骚姿势可比你想象的还要多,别高估了自己的智商。
dnsaq
2023-03-09 07:33:45 +08:00
一句话 对安全保持敬畏 ,能做的就不要嫌麻烦。
onice
2023-03-09 09:13:18 +08:00
redis 只监听 127.0.0.1 ,,如果没密码,如果攻击者通过 web 层拿到 webshell ,,就可以通过本地直连 redis 重写 ssh 密钥控制服务器。
nothingistrue
2023-03-09 09:36:40 +08:00
个人开发环境,你随便搞。但生产环境上,redis 一般都不在本机,而监听范围只能在 127.0.0.1 和 0.0.0.0 之间二选一。
junmoxiao
2023-03-09 10:01:35 +08:00
如果 redis 是高权限,可以用来提权
busier
2023-03-09 16:49:04 +08:00
只是不能网络直连而已!中木马或得到 Shell 一样可以连进来!自己拿捏!
kanepan19
2023-03-09 20:14:25 +08:00
零信任 谢谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/922220

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX